Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    irontor

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток. Если есть умельцы по настройке микротиков подскажите пожалуйста как реализовать такую задачу:
    1.Есть интернет с белым стат IP, настроенный на микротике через PPPoE соединение (внутренний -локальный адрес 192.168.1.1)
    2.В локальной сети установлен WIFI роутер Asus rt-n15u, работающий в режиме беспроводной точки доступа , естественно с отключенным DHCP и ...(подозреваю в этом вся сложность) подключенным в LAN порт кабелем от 3 порта микротика (IP адрес 192.168.1.251)
    Как получить доступ к Web интерфейсу wifi роутера из внешней сети, по средствам NAT я так понимаю? При прописывании правил в микротик на переадресацию из интернена с порта 8081 на порт 80 (это ведь порт Web интерфейса роутера?) ничего не происходит.
    P.S. Переключать кабель в WAN порт роутера с включением функции Веб доступ по Wan, не предлагать.
    P.P.S. Да так все работает...Но надо как выше описано.
    P.P.P.S. На ум приходит реализовать VPN туннель... но это ведь доступ только с одного места с которым собственно туннель и создан, так что наверное тоже не пойдет.

    Всего записей: 30 | Зарегистр. 18-10-2006 | Отправлено: 16:26 26-10-2016
    omsk_mail



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    По какому мануалу делали проброс портов ?
    В официальном мануале разве так делается
    По подключению l2tp то же есть официальный мануал
    Маскардинг между сетками включите.
    Маршрута нет к удалённой сети.
    Выложенные конфиги не полные, и что то понять сложно.
    В тег code сделайте конфиги.

     
    Проброс портов
    Ничем не отличается от оригинала! Ток картинки есть.
    L2TP   Часть информации вот от сюда
     
    Конфиги без настроек, так как не работало я и все удалил.
     
    По факту есть 1 железка в офисе на ней L2TP сервер+локалка
    Клиенты Windows 7.
     
     

    Всего записей: 407 | Зарегистр. 18-02-2008 | Отправлено: 17:08 26-10-2016
    1karavan1

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    irontor

    Цитата:
    При прописывании правил в микротик на переадресацию из интернена с порта 8081 на порт 80  

    покажите строчку этого правила

    Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 17:09 26-10-2016
    irontor

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    add action=netmap chain=dstnat comment="test connect to lan router" dst-port=8189 in-interface=pppoe-out1 \ protocol=tcp to-addresses=192.168.1.251 to-ports=80
     
    Добавлено:

    Цитата:
    [/q]
    [q]

     
    еще так пробывал
    add action=netmap chain=dstnat comment="wifi router interface" disabled=yes dst-port=8189 in-interface=pppoe-out1 \ protocol=tcp to-addresses=192.168.1.251 to-ports=80
    add action=masquerade chain=srcnat disabled=yes dst-port=8189 out-interface=pppoe-out1 protocol=tcp src-address=\ 192.168.1.251 to-addresses=192.168.1.251 to-ports=80
     
     
    disabled=yes -это потом выключил когда проверял было конечно включено.

    Всего записей: 30 | Зарегистр. 18-10-2006 | Отправлено: 17:47 26-10-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Отключите все правила в файерволе и заработает. Или добавте правило форвард.
    В инетах много написано, но без учета этого

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 17:58 26-10-2016
    irontor

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Advanced Member    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Отключите все правила в файерволе и заработает. Или добавте правило форвард.  
    В инетах много написано, но без учета этого
    [/q]
    Это мне надо отключить? Или не мне пишите?[q]melboyscout

    Всего записей: 30 | Зарегистр. 18-10-2006 | Отправлено: 18:04 26-10-2016
    Maxlinus



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    irontor
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-port=8081 protocol=tcp to-addresses=192.168.1.251 to-ports=80
     
    и правило поставте повыше
     
    и в вопросе вы хотите использовать 8081 порт а в правиле у вас 8189.
    и проверьте какой именно порт используется на ASUS RT-N15U, возможно там не 80 а 443
    еще с микротика пропингуйте ip 192.168.1.251 , чтобы точно убедиться что между ними есть связь
     
    НЕ ваш вариант:  netmap - creates a static 1:1 mapping of one set of IP addresses to another one. Often used to distribute public IP addresses to hosts on private networks  
     
    ВАШ вариант: dst-nat - replaces destination address and/or port of an IP packet to values specified by to-addresses and to-ports parameters

    Всего записей: 250 | Зарегистр. 06-12-2011 | Отправлено: 18:12 26-10-2016 | Исправлено: Maxlinus, 18:18 26-10-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    irontor
    Вам

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 18:19 26-10-2016
    irontor

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Спасибо за советы, но не идет
    фильтры отключил, правило поднял на самый верх в NAT до маскарада, в строку конфига пробовал дописать IN интерфейс у Вас его почему то нет, пинг из микротика идет, насчет порта 80 или 443 проверил через TCP View при локальном подключении показывает что порт 80(и вроде и не бывает 443). Есть еще идеи, сам 2-й день исполняю танец шамана с бубном и ничего, пробовал разные порты, отсюда и 8189 и 8081, а вначале пробовал вообще просто 80.

    Всего записей: 30 | Зарегистр. 18-10-2006 | Отправлено: 21:03 26-10-2016
    DemonMetalist



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    add action=dstnat  chain=dstnat comment="wifi router interface" disabled=yes dst-port=8189 in-interface=pppoe-out1 \ protocol=tcp to-addresses=192.168.1.251 to-ports=80  
    add action=masquerade chain=srcnat disabled=yes dst-addresses=192.168.1.251 dst-port=80 out-interface=ether2-master protocol=tcp  
     
    примерно так надо, т.е. маскарад делать на ЛОКАЛЬНЫЙ интерфейс, т.к. tplink не сможет работать ни с чем дальше локальной сети

    Всего записей: 147 | Зарегистр. 02-11-2006 | Отправлено: 21:37 26-10-2016 | Исправлено: DemonMetalist, 21:40 26-10-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    omsk_mail
    irontor
    Покажите где в официальном мануале при пробросе портов прописано netmap
     
    Netmap для транслирования одного диапазона ip адресов в другой а не для проброса портов, для проброса порта нужно dstnat

    Всего записей: 1170 | Зарегистр. 29-08-2005 | Отправлено: 23:22 26-10-2016 | Исправлено: alexnov66, 23:57 26-10-2016
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Maxlinus
    alexnov66
    dst-nat, netmap и same в случае указания в to-addresses подсети с маской /32 (т.е. одного IP-адреса) работают одинаково

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 23:45 26-10-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Реальные адреса пробрасывают так при помощи netmap с внешнего интерфейса на внутренний с маской 32 но не порты. Будет работать если на внешнем один ip адрес пробрасывается на один ip адрес в внутренней сети, если проброс идёт разных портов на разные ip адреса то работать не будет.

    Всего записей: 1170 | Зарегистр. 29-08-2005 | Отправлено: 00:02 27-10-2016 | Исправлено: alexnov66, 00:06 27-10-2016
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alexnov66
    с какого перепугу не будет-то? замените в правилах dst-nat на netmap и проверьте - всё будет работать

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 01:13 27-10-2016
    omsk_mail



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Свой вопрс решил добавлением правила в NAT

    Код:
    chain=srcnat action=masquerade src-address=10.10.20.0/24 out-interface=ether1-internet log=no log-prefix=""
    и на клиенте поставил галочку использовать основной шлюз!
    Все работает!
    dst-nat — Переадресовывает данные, пришедшие из внешней сети, во внутреннюю;
    netmap — Отображение одного адреса на другой. Фактически, развитие dst-nat;
    И так и так работает!
    Какой способ лучше хз.

    Всего записей: 407 | Зарегистр. 18-02-2008 | Отправлено: 20:08 27-10-2016 | Исправлено: omsk_mail, 20:10 27-10-2016
    irontor

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    DemonMetalist
    Junior Member
    add action=dstnat  chain=dstnat comment="wifi router interface" disabled=yes dst-port=8189 in-interface=pppoe-out1 \ protocol=tcp to-addresses=192.168.1.251 to-ports=80  
    add action=masquerade chain=srcnat disabled=yes dst-addresses=192.168.1.251 dst-port=80 out-interface=ether2-master protocol=tcp  
     
    примерно так надо, т.е. маскарад делать на ЛОКАЛЬНЫЙ интерфейс, т.к. tplink не сможет работать ни с чем дальше локальной сети

     
    Спасибо  DemonMetalist
    в таком виде все заработало(у Вас там какая то ошибка в синтаксисе когда вставляешь в микротик и еще не понятно при чем там TP-link)
    add action=dst-nat chain=dstnat dst-port=8189 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.251 \
        to-ports=80
    add action=masquerade chain=srcnat dst-address=192.168.1.251 dst-port=80 out-interface=ether2-master-local \
        protocol=tcp
    И еще вопрос может из-за прошивки не входить в микротик через винбокс(может плохо "легла") или есть какие то особенности при при работе DHCP client  и назначении провайдером по MAC адресу статического IP? Прошивка последняя 6.37.1, микротик новый как купил сразу залил эту так что сказать что было до этой прошивки не могу. Статический адрес пингуется и в Adreses вижу что он назначен, а войти не могу показывает ошибку ERROR:could not connect to XX.XX.... Пробовал включить веб доступ на порт 8080, тоже глухо, включал Cloud хотя у меня и так стат IP но тоже не помогло (кст Cloud мне показывал мой же стат IP) Думаю перешить по новой на 6.37.1 или взять релиз кандидат какой нибудь, шить на меньшую версию боюсь - вдруг слетит все, а он в удаленном офисе.

    Всего записей: 30 | Зарегистр. 18-10-2006 | Отправлено: 09:53 28-10-2016 | Исправлено: irontor, 09:56 28-10-2016
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    От взлома RDP хорошо ставить скрипт, который банит переборщиков после 3-его направельного ввода пароля и закидывает их в блеклист на коннект на 3389. У меня 872 записи уже скрипт добавил за 2 месяца работы.

     
    Зачем какие то скрипты городить? тут всего два правила:
    1. постучал на порт 3389 -> попал в список (исключение нужных ИП, через другой список)
    2. список -> дроп  
    ПРОФИТ

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 10:00 28-10-2016 | Исправлено: DrDEVIL666, 10:15 28-10-2016
    omsk_mail



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток!
    Подскажите пожалуйста как сделать 2 подключения из удаленной сети (2 ПК win7) -1 внешний IP
    подключаются к железке L2tp (разные учетные записи) При подключении 1 второй отваливается!

    Всего записей: 407 | Зарегистр. 18-02-2008 | Отправлено: 12:28 28-10-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    omsk_mail
    L2TP IPSEC?

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 12:32 28-10-2016
    omsk_mail



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Совершенно верно!

    Всего записей: 407 | Зарегистр. 18-02-2008 | Отправлено: 12:45 28-10-2016
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru